El caso de la multa de 2,5 millones de la AEPD a Mercadona contiene un buen número de lecciones a tener en cuenta para cualquier empresa u organismo que se plantee la implantación de sistemas de reconocimiento facial basado en Inteligencia Artificial.
El tratamiento de la noticia por parte de la prensa recoge únicamente la versión de la empresa sin pararse a analizar la resolución de la AEPD en la que se fundamenta la sanción y en la que se recogen importantes claves.
En este artículo queremos enumerar algunas de esas claves que servirán para que los desarrollos futuros de sistemas de reconocimiento facial puedan estar sustentados en sólidos fundamentos legales.
- Hay que cuidar las bases de tratamiento
Una de las claves del procedimiento abierto contra Mercadona por el uso del reconocimiento facial fue la ausencia de una base de tratamiento sólida. La cadena de supermercados se acogió a la base más amplia, la del interés público, cuando en este caso el tratamiento de datos se realiza claramente para satisfacer un interés privado. - Ni evaluación de impacto, ni análisis de riesgo
Mercadona arrancó su programa de reconocimiento facial saltándose los pasos preceptivos para realizar cualquier nuevo tratamiento de datos que, además, maneja datos sensibles. En casos como este, se debe realizar un análisis de riesgo y una evaluación de impacto que contemplen de manera detallada todos los posibles escenarios del tratamiento. Saltarse estos pasos no solo es un problema de cara a posibles sanciones por parte de la AEPD, sino que, además, impedirá identificar posibles problemas en el diseño de los sistemas de recogida, procesado y almacenado de datos, así como en los posibles conflictos legales que acarreen. - Sin consulta previa
Si Mercadona hubiera realizado una evaluación de impacto antes del tratamiento, esto hubiese llevado a una consulta previa a la AEPD en virtud del artículo 36 del RGPD:
“El responsable consultará a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos en virtud del artículo 35 muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para para mitigarlo.”
Sin embargo, ni hubo EIPD, ni hubo consulta. - Proporcionalidad
Una sentencia penal entre partes no habilita el tratamiento masivo de datos biométricos. Por lo tanto, no se puede invocar el artículo 9.2.f del RGPD sobre ejercicio de acciones judiciales. Mercadona argumenta que los jueces que emitían sentencias condenatorias contra personas que hurtaban en sus establecimientos les habilitaban para realizar la vigilancia mediante reconocimiento facial a, potencialmente, toda España. - Los datos biométricos son datos sensibles
Llama la atención que en las alegaciones de Mercadona, la empresa asegura que en su opinión, el patrón (suponemos que facial) de una persona “no constituye un dato de carácter personal, por lo que no se necesita una base legal para su tratamiento”. La ley es muy clara a este respecto, y el patrón facial de una persona no sólo es un dato personal sino que es un datos sensible con un grado de protección mayor. - Nadie se ha quedado, luego está bien
Otro argumento que llama la atención es el de intentar convencer a la agencia de que, como ningún cliente de Mercadona se ha quejado, eso significa que el tratamiento es legal.
La sentencia que se puede consultar aquí en su totalidad contiene otras muchas claves.